課程英文全稱: Building an Investigation with EnCase Forensic?
課程中文全稱:EnCase電子數(shù)據(jù)取證實戰(zhàn)及技能提升
課程編號:DF210 ??| ??CPE 分數(shù): 32
課程級別: ?中級 ?|? 學習要求: 學員已完成學習DF120培訓課程
一、課程簡介
該課程主要為掌握計算機基本技能、電子數(shù)據(jù)取證基礎(chǔ)及EnCase軟件應(yīng)用的調(diào)查人員設(shè)計。課程是基于DF120課程要求的技能,讓調(diào)查員進一步學習EnCase的特有功能,提升個人能力從而實現(xiàn)提高工作效率。學員必須掌握證據(jù)處理、證據(jù)文件結(jié)構(gòu)、創(chuàng)建和使用案例、數(shù)據(jù)獲取方法、硬件寫保護、網(wǎng)絡(luò)交叉線及盤到盤的證據(jù)獲取。此外,學員還需掌握FAT文件系統(tǒng)的刪除文件及文件夾的恢復(fù)、使用關(guān)鍵詞對物理介質(zhì)和邏輯介質(zhì)進行搜索、創(chuàng)建和使用書簽、文件簽名和簽名分析、搜索及解析各種Windows痕跡數(shù)據(jù)。
二、參加對象
該課程主要面向IT安全專家、法律訴訟支持專家及電子數(shù)據(jù)取證調(diào)查員。參加此課程要求學員已參加過DF120課程。
三、課程學習內(nèi)容
- 恢復(fù)加密信息(如Windows BitLocker加密磁盤中加密數(shù)據(jù)的提取)
- 查找及恢復(fù)已刪除分區(qū)
- 復(fù)合文件(Compound Files)的處理與分析
- Windows注冊表工作原理及數(shù)據(jù)分析
- 判斷系統(tǒng)使用的時區(qū),掌握在案例中正確調(diào)整時區(qū)的方法
- 創(chuàng)建及使用條件表達式(Conditions)實現(xiàn)高效搜索
- EnCase證據(jù)處理器的配置與應(yīng)用
- FAT/exFAT/NTFS文件系統(tǒng)概述
- 關(guān)鍵詞搜索技巧及GREP語法應(yīng)用
- 邏輯證據(jù)文件及單一文件的創(chuàng)建與應(yīng)用
- 識別Windows操作系統(tǒng)常見系統(tǒng)痕跡(如快捷方式文件、回收站及用戶文件夾等)
- 回收站(Recycle Bin)的數(shù)據(jù)恢復(fù)
- 系統(tǒng)殘留痕跡的恢復(fù)(如swap交換文件、文件殘留區(qū)、打印機脫機文件等)
- 電子郵件及附件的搜索方法及技巧
- 上網(wǎng)記錄及電子郵件相關(guān)痕跡的檢驗方法
- USB移動設(shè)備的數(shù)據(jù)恢復(fù)